Hallo,

es gibt nur zwei(-einhalb) Arten, eine Authentifizierung mit HTTP zu errreichen. Entweder über Auth mit error 401 oder über session _mit_ Cookie. Sessions ohne Cookies sind untauglich (Historie).

wieso sind Sessions ohne Cookie Passwortschutzuntauglich?  Man kann doch z.B. checken, ob Username + Passwort korrekt sind, wenn ja, die Session_id in ne Db schreiben und bei jedem Aufruf irgendeiner Seite abfragen, ob sich die Session_id in der DB befindet...

Woher kommt denn die Session-ID beim Aufruf irgendeiner Seite (der Session-Domain), wenn dich die z.B. aus den Favoriten abrufe?

dann nochn Timeout setzen, und jedesmal, wenn man was macht, wird dieser neu bestimmt. Ist bei dieser Methode etwa eine Sicherheitsluecke?

Ich sprach von Authentifizierung, nicht von Passwortschutz. Das beinhaltet zwar irgendwo eine Userauthentifizierung mit Passwort- oder Pineingabe, aber natürlich nur einmal pro (Session aus Usersicht). <-- Klammern als mathematische Klammerung...

Sessions sind ohne Cookie nicht tauglich, da zum Beispiel beim Blättern durch Seiten aus dem Cache mit dem Vor- oder Zurückbutton (auch wenn die Seiten neu geladen werden) jedes Mal eine neue Session gestartet wird. Die ist dann nicht Authentifiziert. Beim Surfen durch Seiten einer Domain mit Session über Link (GET) oder Button (POST) kann man das abfangen durch entsprechendes Einfügen der Session-ID in jedem Formular und in jeder URI eines Links. Das macht PHP freundlicherweise alleine. An die URL der bereits vor der Autehntifizierung aufgerufenen Seiten kann es ja keine SESSID mehr anhängen. Folglich ergibt sich die "Bauernregel": Sessions nur mit Cookie (zumindest temporärer), sonst Auth mit "Errordialog 401".

[Wir schreiben da jetzt seit zwei Wochen an "unserer" Doku über Sessions und Authentifizierung, und es gab hier einige Leute, die ganz laut protestiert haben, als ich von einer Seitenzahl von 150 sprach, um alles verständlich darzustellen. Allerdings wurde die Luft bezüglich qualifizierter Antworten auch schon ziemlich dünn (nur ein Beispiel [pref:t=29648&m=160359] ). Die waren der Meinung, auf 10 Seiten wäre alles gesagt. Nun denn...]

Liebe Grüße aus http://www.braunschweig.de

Tom